Austrian Energy CERT

Die österreichische Elektrizitäts- und Erdgaswirtschaft als Best Practice Beispiel zur Stärkung der IT-Sicherheitskompetenz kritischer Infrastrukturen

Die Elektrizitäts- und Erdgaswirtschaft ist ein zentraler Teil der kritischen Infrastrukturen Österreichs. Beeinträchtigungen in der Energieversorgung oder gar ein flächendeckendes Blackout aufgrund von gravierenden Cyber-Angriffen auf die IT-Systeme der Energieversorger sind potenzielle Risiken, für die es entsprechende Gegenmaßnahmen zu setzen gilt – das Austrian Energy CERT (AEC) ist eine davon. Durch die kürzlich erfolgte Gründung und dem Start der Aufbauphase des AEC setzt Österreich eine wichtige Maßnahme zur Stärkung der IT-Sicherheitskompetenz kritischer Infrastrukturbetreiber um. Ein Beispiel, das auch in anderen Sektoren Schule machen soll und auch bereits aufgegriffen wurde.

Hilfe zur Selbsthilfe im Vordergrund

Österreich setzt zur Erhöhung der IT-Sicherheit kritischer Infrastrukturen auf den Ansatz der sektoralen Kooperation und Zusammenarbeit. Durch die Schaffung organisatorischer Rahmenbedingungen in Form branchenspezifischer CERTs, wird so eine tragfähige Grundlage für die Verbesserung der IT-Sicherheit in einem Bereich der kritischen Infrastruktur Österreichs geschaffen. Deren Ziel ist es, ExpertInnen aus dem jeweiligen Sektor zu vernetzen, damit diese sich auf laufender Basis über aktuelle und potenzielle neue Gefährdungssituationen austauschen und sich besser darauf vorbereiten können. Bei branchenspezifischen CERTs steht – wie auch am Beispiel des Austrian Energy CERT ersichtlich wird – die Hilfe zur Selbsthilfe im Mittelpunkt. Denn niemand kennt die Besonderheiten und Herausforderungen einer Branche so gut, wie die jeweiligen Organisationen und Unternehmen selbst.

2016 – Beginn der Aufbauphase des Austrian Energy CERT

Diesem Grundgedanken folgend wurde Mitte 2016 das Austrian Energy Computer Emergency Response Team gegründet, das sich seit November 2016 im Aufbau befindet. Dabei handelt es sich um ein, von der österreichischen Elektrizitäts- und Erdgaswirtschaft gemeinsam betriebenes Computer-Notfallteam. Es wurde ins Leben gerufen, um die Resilienz der betroffenen Organisationen und Unternehmen gegenüber Sicherheitsvorfällen in Informations- und Kommunikationstechnologien nachhaltig zu sichern und kontinuierlich zu verbessern.

Stärkung der IT-Sicherheitskompetenz der österreichischen Elektrizitäts- und Erdgaswirtschaft

Die Hauptaufgaben des Austrian Energy CERTs dienen der Stärkung der IT-Sicherheitskompetenz der Branche. Im operativen Tagesgeschäft umfassen diese insbesondere das laufende Security Incident Management, also die Bearbeitung und Einschätzung von täglich eingehenden Anfragen und Sicherheitsmeldungen sowie die Koordination aller involvierten IT-SicherheitsexpertInnen. Neben diesen Kernaufgaben zählen noch das kontinuierliche News- und Technologiemonitoring zur Einschätzung aktueller IT-Sicherheitsthemen, die Durchführung von Schulungstätigkeiten, die Teilnahme an nationalen wie auch internationalen Cyber-Sicherheitsübungen, Forschungsprojekten oder Workshops sowie die Mitarbeit bei der Erstellung technischer Sicherheitskonzepte für die Elektrizitäts- und Erdgaswirtschaft zum Aufgabenspektrum. Das AEC fungiert außerdem im Kontext von nationalen und internationalen Security Incidents als branchenspezifischer Single Point of Contact, um eine schnelle und effiziente Kommunikation zu gewährleisten.

Unabhängig, vernetzt und integriert

Die Etablierung des Austrian Energy CERT als branchenspezifische IT-Sicherheitsplattform ist Teil jener Maßnahmen, die im Rahmen der Umsetzung der NIS Richtlinie und der damit in Kontext stehenden Österreichischen Strategie für Cyber Sicherheit erfolgen, um die IT-Sicherheit kritischer Infrastrukturen zu erhöhen. Als Alleinstellungsmerkmale des AEC sind dabei insbesondere dessen Unabhängigkeit sowie die national wie auch international herausragende Vernetzung der IT-SicherheitsexpertInnen zu erwähnen. In der Rolle als branchenspezifisches Computer Security Incident Response Team (CSIRT) wird es dabei in weiterer Folge auch als Meldestelle für die verpflichtende bzw. freiwillige Bekanntgabe von IT-sicherheitsrelevanten Vorfällen fungieren. Weitere Vorteile ergeben sich außerdem durch die bestmögliche Integration in das nationale CERT. Das AEC befindet sich seit November 2016 in der Aufbauphase und wird voraussichtlich Mitte 2017 den Probebetrieb aufnehmen. Der Start des Vollbetriebs ist im Laufe des Jahres 2018 geplant.

Gastkommentar Ing. Mag. Stefan Wagenhofer, Vorsitz der Arbeitsgemeinschaft Austrian Energy CERT: Beweggründe aus Sicht der Elektrizitäts- und Erdgaswirtschaft

Ing. Mag. Stefan Wagenhofer

Vorsitz Arbeitsgemeinschaft Austrian Energy CERT

"Die Elektrizitäts- und Erdgaswirtschaft hat 2016 mit dem Aufbau eines brancheneigenen CERT (Computer Emergency Response Team) begonnen. Sie setzt durch die Installation des Austrian Energy CERT (AEC) einen wichtigen Schritt zur Umsetzung der Strategien zur Erhöhung der Resilienz der Energiewirtschaft gegenüber IKT-Attacken, -Gebrechen und -Fehler im Energiesektor. Die energieversorgenden Unternehmen stellen damit im Sinne ihrer Kunden einen weiteren wichtigen Baustein für die Stärkung der IKT-Sicherheit zur Verfügung und unterstützen die Ziele der Österreichischen Strategie für Cybersicherheit.

Das AEC entspricht auch den Empfehlungen der "European Union Agency for Network and Information Security" (ENISA) und den Vorgaben der europäische Netzwerk- und Informationssystemsicherheits-Richtlinie (NIS-Richtlinie).

Durch den gemeinsamen Aufbau eines brancheneigenen CERTs werden Bewusstsein und Prävention im Energiesektor gestärkt. Jedes einzelne Energieunternehmen kann im Notfall auf Experten und ein eigenes, auf Energiefragen spezialisiertes Notfallteam zugreifen.

Im AEC können bereits Vorfälle und Situationen analysiert werden, welche noch nicht in die Meldeverpflichtung der NIS-Richtlinie fallen. Damit sollen frühzeitig Entwicklungen oder Bedrohungsszenarien für den Energiesektor im Bereich IKT-Sicherheit erkennbar und die Zusammenarbeit mit Sicherheitsexperten sowie den Behörden verbessert werden.

Insbesondere durch intensiven Know-how-Austausch zwischen den Unternehmen und dem AEC, durch gegenseitiges Vertrauen und durch die Kenntnis der im Energiesektor verwendeten Systeme, ist es dem AEC möglich, auf den Sektor zugeschnittene Informationen und frühzeitige Warnungen auszusprechen. Auf dieser Basis soll die Elektrizitäts- und Erdgaswirtschaft in der Lage sein, rascher und gezielt auf Bedrohungen reagieren zu können.

Das Austrian Energy CERT wird sich in den in der Branche bereits etablierten Risikoanalyse-Prozess mit einbringen und damit insbesondere den präventiven Bereich stärken und weiter ausbauen. Dadurch werden die obersten Ziele der Branche – eine sichere Versorgung mit Energie und bestmöglichste Qualität der Versorgung – konsequent weiterverfolgt.

Besonders hervorzuheben ist die mit der Risikoanalyse etablierte Public-Private-Partnership (PPP), wodurch die Zusammenarbeit zwischen Energiesektor und den Behörden noch intensiver geworden ist. Mit dem PPP wird zudem gewährleistet, dass die geplanten, aus der Risikoanalyse abgeleiteten Maßnahmen praxistauglich und zielgerichtet sind."

Ing. Mag. Stefan Wagenhofer
Vorsitz ARGE AEC

"KraftCERT" als Best Practice Beispiel aus Norwegen

Während sich das Austrian Energy CERT derzeit im Aufbau befindet, kann sein Pendant in Norwegen bereits auf einige Jahre erfolgreicher Arbeit zurückblicken. Das so genannte "KraftCERT" wurde am 30. Oktober 2014 von den Energieunternehmen Statnett, Statkraft und Hafslund auf Basis einer Initiative von NorCERT sowie der Norwegischen Wasserressourcen- und Energiedirektion (NVE) gegründet, um die gesamte Energieindustrie bei der Prävention und Abwehr von Sicherheitsvorfällen zu unterstützen.

Gastkommentar Margrete Raaum, CEO KraftCERT: Erfahrungen aus norwegischer Sicht und Bedeutung der nationalen wie auch internationalen Zusammenarbeit

"Starting up the Norwegian energy CERT has been quite a learning curve, both for the constituents and us. The initial set of services is not the same set of services that we see a demand for today, but keeping the model open to changes has proved a success. The constituents receive support in improving both detection and incident response, and together with the utilities we push to improve the security in services delivered to the utilities from service providers. We have found that there is a need for a greater understanding of the criticality of this sector amongst many vendors.

In our daily work, we chose to focus on personal meetings for increased trust and improved information sharing, and unsurprisingly this has shown to be the right direction. We also chose to keep a steady pace and not rush neither the processes nor the utilities, and this has kept us out of trouble with growing pains. We are now ready to grow and we are currently mapping out both more resources and new services, and continuously a robust international sharing network. We already have a good collaboration with CERT.at and the energy CERT of Austria, and we are looking forward to working even closer together."

Margrete Raaum
CEO KraftCERT

Abbildung 13: Das Logo des norwegischen KraftCERT (© KraftCERT)

Weitere Informationen:





<< Vorige Nächste >>